Ukrayna’nın Rus işgaline karşı savunmak için kullandığı şifreleme teknolojisi, şu anda Parlamento’dan geçen Çevrimiçi Güvenlik Yasası’ndaki önlemlerle risk altına alınabilir.
Ukrayna’da kullanılan uçtan uca şifreleme (E2EE) teknolojisini sağlayan bir şirketin CEO’su, yasa tasarısında mesajların şifrelenmeden önce otomatik olarak taranmasını zorunlu kılan önerilerin ülkedeki askeri operasyonları baltalayabileceği konusunda uyardı.
Şifreleme uzmanı Element’in CEO’su Matthew Hodgson, Computer Weekly’ye Çevrimiçi Güvenlik Yasa Tasarısı’ndaki terörizmle ilgili iletişimleri belirlemeye yönelik hükümlerin, rakiplerin askeri gücünü belirlemek için eyalet bilgisayar korsanları tarafından altüst edilebileceğini söyledi.
“Ukrayna’da olduğunuzu ve Element’i Savunma Bakanlığı ile iletişim kurmak için kullandığınızı hayal edin ve İngilizler birdenbire bombalara gönderme yapan her mesajı stoklamaya başlamanın iyi bir fikir olduğunu düşündüler. Eğer Russanız, o bilgi arşivine erişmek için elinizden gelen her şeyi yapacaksınız” dedi.
Hodgson, Ulusal Suç Teşkilatının (NCA) ve ortak kolluk kuvvetlerinin, mesajlaşma hizmetlerinde uçtan uca şifrelemeyi genişletme planları nedeniyle Facebook sahibi Meta’ya yönelik eleştirilerini artırdığı için konuşuyordu.
15 kolluk kuvvetinden oluşan Sanal Küresel Görev Gücü’nün bir parçası olan NCA, Lordlar Kamarası’ndan Çevrimiçi Güvenlik Yasası’nın geçirilmesiyle aynı zamana denk gelen bir bildiride Meta’nın, yeteneğini zayıflatacak “amaçlı bir tasarım seçimi” yaptığını söyledi. çocukları istismardan korumak için.
Açıklamada, E2EE’nin çocuk istismarının tespitini etkileyecek şekilde uygulandığında, kolluk kuvvetlerinin suçluları belirleme, takip etme ve kovuşturma becerileri üzerinde “yıkıcı bir etkisi” olduğu belirtildi.
İstemci tarafı tarama
Çevrimiçi Güvenlik Yasa Tasarısı, düzenleyici kurum Ofcom’a iletişim şirketlerinin, mesajların içeriğini şifrelenmeden önce çocukların cinsel istismarı ve terörizm içeriğine yönelik olarak analiz etmeleri için istemci tarafı tarama (CSS) olarak bilinen teknolojiyi yüklemelerini zorunlu kılma yetkisi verecektir.
İçişleri Bakanlığı, bir kullanıcının telefonuna veya bilgisayarına yüklenen yazılımı kullanan istemci tarafı taramanın, suç içeriğine yönelik mesajları denetlerken iletişim gizliliğini koruyabildiğini savunuyor.
Ancak Hodgson, Computer Weekly’ye, Çevrimiçi Güvenlik Yasası’nın mevcut haliyle yasalaşması halinde Element’in şifreli cep telefonu iletişim uygulamasını Birleşik Krallık’tan geri çekmekten başka seçeneği olmayacağını söyledi.
Element, Birleşik Krallık, Fransa, Almanya, İsveç ve Ukrayna dahil olmak üzere hükümetlere şifreli iletişim sağlar.
“Müşterilerimizden herhangi birinin bu kurulumu dikkate almasının hiçbir yolu yok. [client-side scanning]yani açıkçası bunu kurumsal ürüne dahil etmeyeceğiz,” dedi.
“[The Online Safety Bill] Bu, Birleşik Krallık’ta tüketiciler için güvenli bir mesajlaşma uygulaması sağlayamayacağımız anlamına gelir. Güvenli bir iletişim tedarikçisi olarak konumumuzla alay ederdi”
Matthew Hodgson, Öğe
“Ancak bu aynı zamanda Birleşik Krallık’ta tüketiciler için güvenli bir mesajlaşma uygulaması sağlayamayacağımız anlamına da gelir. Bu, güvenli bir iletişim tedarikçisi olarak konumumuzla alay ederdi” diye ekledi.
Bu gerçekleşirse Birleşik Krallık, Element’in şifreli iletişim hizmetini etkili bir şekilde yasaklayan tek ülke olarak Çin’in yanına gidecekti.
WhatsApp ve Signal dahil olmak üzere diğer şifreli iletişim hizmetleri, Çevrimiçi Güvenlik Yasası mevcut haliyle devam ederse Birleşik Krallık’ta artık şifreli mesajlaşma hizmetleri sağlayamayacaklarını belirttiler.
Gizlilik ihlali
Hodgson, Birleşik Krallık’taki politikacıların, tarama yazılımı şirketlerinin, istemci tarafı taramanın gizliliği bozmadan kötü amaçlı içeriği güvenilir bir şekilde tarayabilen “sihirli değnek” olduğu iddialarına yanlış bir şekilde inandıklarını söyledi.
CSS aktarım sırasında şifrelemeyi bozmasa da, teknoloji, mesajları şifrelemeden önce veya şifreyi çözmeden sonra üçüncü taraf moderatörler tarafından analize tabi tutularak kullanıcıların gizliliğinin “tamamen ihlal edildiği” anlamına gelir.
“Evinizin her odasında 7/24 çalışacak, devlet tarafından sağlanan bir CCTV kamera bulundurma zorunluluğunuza çok benzer. Evinizi inşa eden insanlar tarafından sağlanan özel bir moderasyon ekibine bildirilen kötü şeyleri tespit etmek için bilinmeyen bir algoritma kullanacak” dedi.
“Bunu gerçek hayatta asla kabul etmeyeceğiz ve bunu teknik olarak bir yazılım ortamında uygulayabiliyor olmanız bunun doğru cevap olduğu anlamına gelmez” diye ekledi.
Bilgisayar korsanlığı riskleri
Sistem mükemmel bir şekilde çalışsa bile CSS, teknolojiye erişim sağlayabilen, yeni kurallar ekleyebilen ve potansiyel olarak şifrelenmiş iletişimlerden sızan ve bilgisayar tarafından toplanan “devasa bir bal küpü”ne erişebilen bilgisayar korsanları tarafından istismar edilebilecek yeni güvenlik riskleri yaratır. moderasyon ekibi.
“Eğer bir çocuk istismarcısıysanız ve çocuk istismarı içeriğine erişmek istiyorsanız, [with client-side scanning] onu tek bir yerde toplayan ve kötü aktörlerin onu taramasına izin veren bir mekanizma yarattınız” dedi.
Hodgson, suçluların internette parmak izlerini bırakma olasılıklarının yüksek olması nedeniyle, şifreli mesajlaşmanın istemci tarafında taranmasının terörizm ve çocuk cinsel istismarını tespit etmek için gerekli olmadığını savunuyor.
“Bu tür materyalleri yayınlayan insanlar keşfedilebilir olmalı ve keşfedilebilir oldukları an, araştırmacıların takip edebileceği bir ekmek kırıntısı izi bırakarak kendilerini ifşa ediyorlar” dedi.
Müfettişler, internette gizli çalışmalar yaparak, topluluklara katılarak veya suçlularla etkileşim kurmak için yapay zeka kontrollü botlar kullanarak sübyancıları takip edebiliyorlar. “Bugün kullandığımız bu tür bir yaklaşım ve nispeten etkili bir şekilde çalışıyor” dedi.
Bu tekniklerin etkili olmadığı tek senaryo, bir suçlunun internette insanları hedef alan “yalnız bir kurt” gibi davranmasıdır. Ancak yalnız kurtların riski, fiziksel dünyada da bir o kadar doğrudur.
“Ne yapıyorsun? Herhangi bir şeyden şüphelenmeleri halinde polise insanların odalarına rastgele girme yetkisi veriyor musunuz? Yoksa çocukları bunun kötü olduğundan ve bildirmeleri gerektiğinden emin olmaları için mi eğitiyorsunuz? dedi.
Teknoloji şirketleri, şüpheli iletişimleri belirleyerek yalnız kurtlar da dahil olmak üzere potansiyel suçluları belirlemek için şifreli iletişimlerden meta verileri de kullanabilirler.
“Sabah saat dörtte bir çocukla sürekli iletişim kuran ve ileri geri görüntü gönderiyor gibi görünen 50’li yaşlarında bir kullanıcınız varsa buna iyi bir örnek,” dedi.
adli onay
Liberal Demokrat bir akran olan Tim Clement-Jones, hükümetin uçtan uca şifreleme kullanılarak gönderilen mesajları izleme planlarına daha fazla açıklık getirmek amacıyla Çevrimiçi Güvenlik Yasasında değişiklikler yaptı.
Tasarının 110. Maddesi, Ofcom’a, cep telefonuyla gönderilen özel mesajlar da dahil olmak üzere mesajların içeriğini filtrelemek için özel mesajlaşma servislerinin “akredite” teknolojiyi devreye sokmasını gerektiren teknoloji bildirimleri yayınlama yeteneği veriyor.
Clement-Jones’un değişikliği, hizmet kullanıcılarının mahremiyetinin dikkate alınmasını ve önlemlerin orantılı olmasını sağlamak amacıyla, düzenleyicinin bir teknoloji bildirimi yayınlamadan önce bir yargıçtan onay almasını gerektirecektir.
İkinci bir değişiklik, Ofcom’un uçtan uca şifreli bir mesajlaşma hizmetine teknik bir bildirimde bulunmadan önce, gözetimi düzenleyen Soruşturma Yetkileri Yönetmeliği Yasası 2000’e uymak zorunda olup olmayacağını belirlemeye çalışıyor.
Kasım 2022’de yayınlanan, Index on Censorship’ten Matthew Ryder KC’ye yaptırılan bir yasal görüş, Ofcom tarafından yayınlanan teknik bildirimlerin, devletin zorunlu kıldığı kitlesel bir gözetim anlamına geldiğini ortaya koydu.
Ryder, “Ofcom, Birleşik Krallık vatandaşlarının toplu gözetleme yetkileri konusunda GCHQ (2016 Soruşturma Yetkileri Yasası uyarınca) gibi Birleşik Krallık’ın casus teşkilatlarından daha geniş bir görev alanına sahip olacak” diye yazdı.
Çevrimiçi Güvenlik Yasası tarafından önerilen gözetim yetkilerinin yasaya uygun olma ihtimalinin düşük olduğunu ve yasal itirazlara açık olacağını söyledi. “Şu anda, bu düzeyde bir devlet gözetimi, yalnızca ulusal güvenliğe yönelik bir tehdit varsa, Soruşturma Yetkileri Yasası kapsamında mümkün olacaktır.”
Hodgson, bir yargıçtan yasal onay almanın daha fazla kontrol ve denge sağlasa da, şifreli hizmetlerdeki mesajları incelemek için gerekli olan tarama altyapısının (bilgisayar korsanları veya bilgisayar korsanları tarafından ele geçirilebilecek bir “truva atı”) oluşturduğu riskleri ele almayacağını söyledi. şifreli mesajların içeriğine erişmek için düşmanca durumlar.
Element, hizmetlerinin güvenli olduğundan emin olmak için açık kaynaklı yazılıma, yeniden üretilebilir yapılara ve güvenli bir malzeme listesine güvenir.
“Eklenen ve bir arama emri çıkarılana kadar uykuda kalacak ikili bir blobun olması fikri, söz konusu arama izni olmasaydı gördüğümüz tehditle aynı tehdittir” dedi.
Bunun yerine hükümet, şifrelenmiş uygulamaları içerik taramasından muaf tutmalıdır.
Tasarının, Temmuz 2023’e kadar bir rapor aşamasına ve son üçüncü okumasına ulaşmadan önce Lordlar Kamarası’nda 10 veya 12 günlük komite oturumlarından geçmesi bekleniyor.